2026年5月12日,韩国个人信息保护委员会(PIPC)向内阁报告了转向预防为导向的个人信息管理系统的过渡计划。该计划旨在将个人信息保护框架的重点方向从被动惩罚转向主动预防,以应对人工智能和平台经济快速发展带来的不确定性。
韩国PIPC战略方向变更的重点
加强对多次/严重违规的制裁
💰 PIPC计划对反复或严重违反韩国《个人信息保护法》(PIPA)企业处以最高10%的行政罚款,以提高罚款制裁的有效性。罚款的计算将根据上一年营业额与前三年平均营业额之间的较高金额进行调整。
此外PIPC还计划:
引入定期罚款制度;
加强对隐瞒证据的制裁;
实施举报违规的奖励制度。
政策激励与基于风险的管理
📝 PIPC鼓励企业实现实质合规,而不仅局限于表面的形式合规。
PIPC拟推出多项激励举措,对主动加大安全投入、完善个人信息保护体系的企业,给予罚款减免等政策优待。
同时自2026年9月起,PIPC将鼓励企业主动披露其有关隐私保护的内部政策与内部活动,以确保企业管理层能够履行个人信息保护的职责。
此外PIPC宣称将实施基于风险的管理体系,包括:
对约1700个高风险系统进行直接检查,包括主要公共系统和处理大规模个人数据的系统;
扩大个人信息供应链的检查范围,包括云服务提供商和系统供应商;
在韩国推广制度化的隐私设计原则,确保企业从服务的初始、设计阶段起就考虑保护用户隐私。
加强受害者救济与权利保护
🛟 PIPC计划为受数据泄露影响的公民提供更切实的救济。该计划规定企业应对发生在本企业系统的数据泄露事故默认承担赔偿责任;且此类损害的举证责任也由企业承担。
此外PIPC还打算:
密切监控用户难以撤销同意或修改个人信息的黑暗模式;
加强个人信息侵权报告中心的职能;
与有关调查机构合作,追踪并惩处在网上非法传播敏感个人信息的人。
案例:Temu被PIPC处罚的警示
韩国PIPC这次宣布调整个人信息保护体系其实事出有因——近年来韩国国内频繁曝出个人信息泄露与非法跨境传输的案例,韩国社会要求要强化个人信息保护措施呼声愈发高涨,监管机构的处罚亦是逐年严格,这其中最值得中企警示的案例是PIPC在2025年对Temu处罚的案例。
Temu案件背景
Temu是拼多多面向海外市场的跨境电商平台,其功能是提供商品管理、订单处理、营销宣传等集成跨境电商服务。2025年5月15日,韩国PIPC宣布因Temu违反韩国《个人信息保护法》的多项条款,对Temu处以总额13.86亿韩元(约710万人民币)的罚款。
本案中,PIPC调查发现:
Temu在招募韩国卖家时收集卖家身份证和面部数据。
Temu用户的个人信息被存储在包括中国、新加坡和日本的外国企业运营商中,且用户未被告知此类行为。Temu还被发现未能对委托第三方处理用户个人信息的相关环节履行审查与监督义务。
自2023年底以来,Temu每天有290万的韩国日活用户,但未按 《个人信息保护法》的 规定指定韩国国内代理。
Temu的会员退出流程复杂化,要求用户至少实施7个步骤才能注销会员。
Temu在本案中踩中的合规雷区
1、违规收集并处理用户敏感信息
无合法必要依据,违规收集身份证、面部识别等敏感个人信息,违反信息收集的必要性原则。
2、未充分披露跨境数据传输
未履行韩国跨境数据出境的法定审批与备案流程,擅自将韩国国内的个人信息跨境传输;同时隐私政策不透明,未按照韩国《个人信息保护法》的规定清晰告知韩国用户个人数据的存储地点、存储期限、跨境传输范围。
3、第三方数据处理监管缺失
委托第三方处理个人数据时,未建立有效监督机制,未审核第三方合规资质。
4、未指定韩国境内代理人
在达到一定市场规模后,未指定韩国本地代理人,违反了与监管机构对接和接收用户投诉的义务。
5、退出机制的流程过于繁琐
Temu设计至少7个步骤的退出机制,被监管机构认定变相阻碍用户行使删除权。
对中企出海的合规建议
结合PIPC本次宣布的个人信息保护转向与近期韩国监管机构对泄露个人信息企业的处罚(以Temu案为例),可预测未来PIPC等韩国监管机构将在个人信息保护上采取“恩威并施”的手段——一方面加强处罚手段,另一方面给予积极实施个人信息保护的企业更多产业优惠。因此对于出海韩国市场的中企而言,当下就应该重视本企业的个人信息保护体系,垦丁王捷律师团队结合过往协助企业出海韩国的实务经验,提出以下的实务建议:
1、重视数据收集、存储、传输等流程的合规性
涉及数据流程的个人信息保护是PIPC审查的重点领域,出海企业应重视全流程的数据合规。
收集:尽量减少收集韩国用户的居民登记号、生物识别信息等敏感信息,如用户验证等环节确需收集,应当确保敏感信息存储在韩国本地。
存储:韩国用户数据优先存储在韩国境内服务器,不随意出境。
传输:在数据确需出境的情况下,遵循法定流程。
获得用户单独、明示的同意;
及时向PIPC申报并备案跨境传输计划;
与接收方签订数据处理协议(DPA),确保对方承诺具有同等保护水平。
2、重视对本地代理与第三方的选择与管控
设立具有实权的韩国本地代理:达到一定规模的出海企业若在韩国未设立实体机构,应当在韩国确立一个实体的本地代理人,并赋予其在韩国代理本企业的实际权利。应确保代理人有权独立接收PIPC 文书、处理用户投诉、向出海企业总部传达PIPC监管意见与用户投诉信息。
加重第三方合作方的资质管控:
签约前尽职调查:审核第三方资质、安全能力、过往合规记录,应确保第三方具有与本方相同或更高的保护水平;
合同明确数据处理范围、目的、期限、安全责任、违约赔偿;并禁止第三方转委托、擅自使用数据;
定期审计 + 安全检查:规定在合理期限内进行审计(如每年至少一次),要求第三方提供数据安全报告,并保留文件留痕记录以便日后监管查看。
3、重视产品设计符合个人信息保护要求
隐私政策和用户协议实现“轻量化、透明化”:使用单独页面,用韩语清晰易懂地突出收集个人信息的核心条款(如收集什么、用在哪、存多久、是否出境)。
同意机制实现“非捆绑、可撤回”:有关产品使用的重要功能,如基础服务同意、营销同意、数据出境同意,需在用户注册和使用功能时分开勾选,禁止所有功能捆绑同意。
退出机制实现“一键化、无门槛”:
产品应在网页或App的显著位置设退出入口,退出流程应当相较于注册流程更加便利(根据Temu案,大于/等于7个步骤已被认定为阻碍用户退出),并且无需退出理由,禁止阻碍用户退出。
用户注销后彻底删除或匿名化用户数据,不得留存并处理用户个人信息。
防患于未然!韩国宣布转向以预防为导向的个人信息保护体系
作者:王捷 王子系 钟浩辉来源:出海互联网法律观察

2026年5月12日,韩国个人信息保护委员会(PIPC)向内阁报告了转向预防为导向的个人信息管理系统的过渡计划。